キャリアモデル 読了 約 9 分

井上 春樹さんの軌跡: ポリシー型から技術型セキュリティへの転身

監査の人がクラウドアーキテクチャを設計するまで

by BookPath 編集部
  • #セキュリティ
  • #ゼロトラスト
  • #クラウド
  • #コンテナセキュリティ

金融セキュリティ部門の8年で身についたもの

私は新卒で金融系企業の情報セキュリティ部門に配属され、8年間「ポリシー側」の仕事をしてきました。ISMSの内部監査、年1回のリスクアセスメント、インシデント対応の指揮、脆弱性管理の集計、社内研修の企画、外部ベンダーの選定。

金融という業界柄、規程と監査証跡の整備は徹底しています。私はそこで、リスク管理の枠組みやコンプライアンス文書の作法を確実に身に付けました。一方で、技術的なセキュリティ対策——WAFのルール調整、IDS/IPSのログ分析、暗号通信の設計——は、ほぼすべて外部ベンダーに依頼してきました。

8年経って気づいたのは、「契約書とExcelを書ける人材」としては成熟したが、「攻撃者の気持ちでシステムを設計できる人材」には程遠い、という現実でした。

クラウド移行とゼロトラストが突きつけたもの

転機は社内のクラウド移行プロジェクトです。AWS上に新しい顧客向けサービスを立ち上げる際、社内ポリシーで定めていた「境界防御モデル」が通用しなくなりました。VPCの中もインターネット越しでアクセスされ、IAMロールが認可の中心になり、シークレットマネージャやKMSが鍵管理の主役になります。

私は会議で「ゼロトラストってどういう設計指針ですか」と聞かれ、教科書的な定義は答えられたものの、AWSのどのサービスをどう組み合わせると実装できるのか、まったく語れませんでした。ベンダー任せでは、自社のセキュリティアーキテクチャを自社で守れない。33歳のこのタイミングで、技術側に踏み込もうと決意しました。

技術書で埋めた基礎の穴

最初に読み返したのが『安全なWebアプリケーションの作り方』(徳丸本)です。SQLインジェクション、XSS、CSRF、セッション固定など、ポリシー文書に「対策必須」と書いてきた攻撃が、コード上で実際にどう刺さるのかを、初めて自分の手でPoCを書きながら理解しました。8年間、定義しか知らずに語っていた自分が恥ずかしくなる体験でした。

『暗号技術入門』では、対称鍵・公開鍵・ハッシュ・電子署名・PKIを再整理し、AWSのKMSやACMの設計選択を「なぜそうあるべきか」で語れるようになりました。

ゼロトラストの本格学習は『ゼロトラストネットワーク』を骨子にしました。境界防御を捨て、すべてのリクエストを認証・認可・暗号化の対象とする思想。AWSのIAM、SCP、VPCエンドポイント、PrivateLink、AWS SSOなどが、この本の枠組みでようやく一本につながりました。

クラウド/コンテナの実機学習

『コンテナセキュリティ』はECS/EKSへの移行が目前にある自社にとって、もっとも実用的な一冊でした。イメージスキャン、ランタイム保護、Pod Security、Secret管理、サプライチェーンセキュリティ。SBOMやsigstoreといった概念も、現場で語る基礎ができました。

実技側の補強として『ハッキングラボのつくりかた』で攻撃者目線の視点を養い、自宅のVM環境にKali Linuxを立て、自分のテスト用ECサイトに対してSQLi/XSSを実際に成功させてみる経験をしました。守る側の人間が一度も攻撃を成功させたことがない、というのは8年やってきて初めて自分で恥じた事実でした。

入門の俯瞰には『図解入門 セキュリティの基礎』を使い、自分の知識マップに穴がないかを確認しました。

現場での変化と次の挑戦

学習を始めて1年、私は社内のクラウドセキュリティアーキテクトのロールを兼任するようになりました。AWS Security Hub、GuardDuty、Configを軸とした検知体制を設計し、CIにIaCスキャン(Checkov、tfsec)を組み込み、Pull Requestレベルでセキュリティを担保する仕組みを整えました。

ベンダーに丸投げしていた頃と比べると、対策の意思決定スピードが目に見えて速くなりました。何よりも、自社のエンジニアと「同じ語彙で」議論できるようになったことが、もっとも大きな変化です。

ポリシー側からテクニカル側へ進みたい人へ

セキュリティ業界では、ポリシー人材と技術人材の境界が曖昧になり始めています。クラウドネイティブ時代のセキュリティは、コードとして表現される設計そのものだからです。IAMポリシーもネットワーク設定もKMSキー管理も、すべてterraformとyamlで定義される時代に、ポリシー側だけにとどまることのリスクは年々大きくなっています。

ポリシー側のキャリアを8年積んできたことは、私にとって決して無駄ではありませんでした。リスク管理のフレームワークを土台に、技術的な実装力を上から積み上げる。この順序は、若手のテクニカルセキュリティエンジニアにはない強みになると感じています。年齢を理由に技術への踏み込みを諦めかけている同世代のセキュリティ人材に、私の事例が一つの選択肢として届けば嬉しいです。

あなたに合う書籍を見つける

30 秒のキャリア診断で、次に読むべき本と職種ロードマップを提案します。

30 秒で診断する
職種ガイド 読了 約 14 分

セキュリティエンジニアのキャリア設計 2025

攻防一体の思考法でWebからクラウドまで守る、実践的セキュリティエンジニアへの道

セキュリティエンジニアとして活躍するための、Webセキュリティ・ゼロトラスト・暗号技術・クラウドセキュリティを網羅した実践ガイド。攻撃者の視点を持ちながら堅牢なシステムを設計する力を養う。

#セキュリティ#ゼロトラスト#暗号技術
テーマ特集 読了 約 12 分

Webアプリからゼロトラストまで学ぶセキュリティ六冊の道

アプリ・設計・ネットワーク・コンテナ・暗号を横断する実務向け読書ガイド

セキュリティを「Webアプリ・設計・ネットワーク・コンテナ・暗号と攻撃」の五領域で整理し、六冊で全体像を作る。役割別の読み分け表とロードマップで、知識を組織のセキュリティ文化に変える方法を示す。

#セキュリティ#ゼロトラスト#暗号
キャリアモデル 読了 約 9 分

田中 誠さんの軌跡: Laravel開発者からセキュリティエンジニアへの 2 年

インシデント対応で目覚めた「作って守るエンジニア」への道のり

BtoB SaaSのLaravelエンジニアだった田中さんが、自社のセキュリティインシデントを機にセキュアバイデザインへと舵を切った2年。場当たり対応から体系的な設計力へ進化する道のりを描く。

#セキュリティ#Laravel#セキュアバイデザイン